アスクルランサムウェア攻撃 ~アスクルの対策について考察する ウイルス、ワーム限昇格対策~ [セキュリティ研究室] 

日付:
 こんにちは!
 ナビゲータのEVEです。

 4Kテレビを見れる環境にあるのですが、ある一定期間の13:00~18:00の間、4Kテレビで、大相撲を見ることができます。なんで、4Kだと思います?
 4Kテレビを放送を開始した理由を想像すると、消費者目線で見ると、きれいな映像や音質で見たいということだと思うのだけど、大相撲をきれいな映像や音質で見たいと思いますか?
 太った男たちが、半裸状態でぶつかる音・・・。ほとばしる汗・・・。うっ・・・・。想像しただけでも無理・・・。
 八百長問題から立ち直り、人気は上昇基調にある大相撲ですが、別に4Kじゃなくてもいいじゃん?BSでいいんじゃない?なんで、4Kテレビで放送するの???
 そんな、4Kテレビですが、2027年には、民法5局は撤退するらしいです。4Kテレビを購入する人が想定よりも少なく、民放が考える採算レベルにならなかったらしいです。
 4Kテレビって、素晴らしい画質のため、映像が立体的に見ることができます。以前3Dテレビを販売しているメーカーがありましたが、それが必要がなくなったのは、4Kテレビのせいだといってもいいでしょう?そんなことを考えると、コンテンツがなくなるのは非常に残念です・・・。まっ、撤退する民法の放送内容は、4Kで放送するにふさわしい番組ではなかったのですが・・・?
 では、本日は、先週の続きで、アスクルでのランサムウェア攻撃について考察していきます。

[資格情報の保護]

 先週、権限昇格を防ぐために、以下のような対策が必要だと話をしました。

  1. 資格情報の保護
  2. OS・ソフトウェアの最新化
  3. 端末の暗号化(Disk / Memory)
  4. 権限設計とネットワーク構造
  5. EDR自己防御
  6. 横展開対策
  7. バックアップ分離
  8. 監視(SOC)

 その中で、資格情報の保護が最も重要な対策だといえます。それでは、具体的にどのような対策なのか調べていきましょう。

  1. LSASS 保護(Credential Guard)
  2. NTLM 無効化
  3. パスワードのハッシュを端末に残さない設定
  4. 管理者アカウントの分離(Tiered Admin Model)
  5. サービスアカウントの権限最小化
  6. ローカル管理者パスワードの自動ローテーション(LAPS)

 以上の記述だけではわかりにくいので、深堀していきましょう。

[LSASS 保護(Credential Guard)]

 では、LSASS 保護(Credential Guardとは具体的に何をするのでしょうか?以下は、Window10/11ですべき点になります。

No 項目 内容
1 UEFI + Secure Boot 必須
2 VBS(仮想化ベースのセキュリティ) 有効化
3 Credential Guard 有効化
4 メモリ整合性(HVCI) 有効化
5 古いドライバの排除 必須
6 管理ツール(GPO/Intune)での一括設定 推奨

 1のUEFI + Secure Bootはパソコンメーカーから提供されたものをご利用ください。
 そして、2~4は、6の管理ツール(GPO/Intune)を導入することにより、一括で設定することが可能です。
 最後に、古いドライバの排除は、以下の方法で検出し、実施することが可能です。

  1. Windows セキュリティ(標準機能)で検出する方法
  2. Windows Event Log(イベントログ)で検出する方法
  3. Microsoft の公式ツール「HVCI Readiness Tool」で検出
  4. PowerShell(Windows標準)でドライバ一覧を取得
  5. Intune(Microsoft Endpoint Manager)で検出
  6. PCメーカーの管理ツールで検出(企業でよく使う)

[あとがき]

 途中ですが、時間が来ましたので、本日はここまでとします。なんか、自分のパソコンだけでも大変そうなのですが、数百台のマシンを保有する一般企業では、以下の方法で以上の設定をすることが可能だそうです。

  1. GPO(グループポリシー) ← Windowsドメイン管理
  2. Intune(Microsoft Endpoint Manager) ← クラウド管理
  3. Cメーカーの管理ツール(Dell/HP/Lenovo)
  4. MDM + セキュリティ基準(CIS / Microsoft Baseline)

 ソフト、ハードメーカーからいろいろな製品が提供されており、きちんと設定しさえすれば、企業をウイルスワームから守ることが可能なようです。ただ、設定を忘れた、できなかったといった場合、社内のすべての端末がウイルス、ワームの脅威にさらされることになります。
 3カ月、半年、少なくとも1年以内に自社内の設定を見直し、最適な環境が維持されていることを確認することが求められるようです。
 では、また!

コメント

コメントを投稿